幽灵再现 — Gh0st RAT恶意软件分析

什么是Gh0st RAT — 历史与变种演变

Gh0st RAT（有时拼写为Gh0strat）大约在2008年出现，由一个中国黑客团体创建。由于其源代码后来被公开发布，它成为许多攻击者武器库中的持久工具——被不断修改、适配和扩展。一种持续的战术是将其与内核级rootkit捆绑或配对，以隐藏其存在并使检测复杂化。

像HiddenGh0st这样的变种已经在相关攻击活动中被记录，这些攻击将Gh0st RAT功能与PurpleFox rootkit结合，用于隐藏文件、注册表和进程。最近，在"DeepSeek Deception"攻击活动中，发现了Sainbox RAT（一个Gh0st衍生的后门）与PurpleFox rootkit一起通过MSI安装程序、侧加载的DLL和shellcode载荷进行投递。

样本分析

从Malware Bazaar获取此恶意软件样本后，我们观察到其表现出以下行为：

• 伪造的MSI安装程序（伪装成Chrome或流行应用安装程序）
• DLL侧加载 — 攻击链包含一个真实的浏览器二进制文件（以减少怀疑）和一个良性EXE文件（mctty.exe）
• 良性EXE成为DLL侧加载的宿主进程
• 加载器写入Run注册表项，并使用rootkit来掩盖RAT的存在，使其不被安全工具发现
• 劫持加载器 — sqlite3.dll导出sqlite3_open以进行伪装，但实际上读取一个1.txt文件，分配可执行内存，并将其内容注入到mctty.exe进程中运行
• 1.txt中嵌入的双重载荷：
  • PurpleFox rootkit组件，用于内核级隐藏（隐藏文件、进程、注册表项）
  • Sainbox RAT，一个Gh0st变种后门，提供远程访问、数据窃取和命令执行能力

伪造的Chrome安装程序

解压MSI安装程序后，可以看到以下文件：

• ChromeSetup.exe
• mctty.exe
• sqlite3.dll
• txt
• msvcp140.dll
• vcruntime140.dll
• msvcr100.dll

这其中确实包含一个合法的ChromeSetup.exe副本，以及多个合法的DLL文件。然而，实际的恶意载荷是sqlite3.dll和txt文件。检查txt文件时，发现它实际上包含两个PE文件，一个32位，另一个64位，每个都被列为驱动程序文件。

执行链

在执行过程中，我们看到安装程序将cab文件中的文件释放到路径C:\ProgramData\cPZECO，然后启动EXE文件mctty.exe，该文件从同一路径加载恶意的sqlite3.dll。

随后，该EXE将执行三个操作：

1. sqlite3.dll将从1.txt读取到内存中的shellcode注入到mctty.exe进程中。
2. 通过在CurrentVersion\Run中设置mctty.exe开机启动，创建用户级持久化。
3. 创建并启动一个可疑的.BAT文件 — 8553C0C8.bat，位于AppData\Roaming\Beacon，该脚本连接域名ee[.]bsjdwn[.]com。

脚本8553C0C8.bat的功能是检查mctty.exe进程是否正在运行，如果未找到该进程，它将直接从脚本启动它，并持续在任务列表中检查该进程。

在安装过程中，还会通过ChromeSetup.exe安装一个合法的Chrome实例，以避免引起用户怀疑。

侧加载的DLL

载荷的投递由sqlite3.dll处理。该DLL通过搜索顺序劫持的方式从相同的本地安装路径加载，此文件既负责恶意软件的持久化，也充当下一阶段的加载器。

持久化

该DLL通过RegSetValueExW将其自身路径写入HKCU Run注册表项，建立用户级持久化。然后，它充当主要载荷的加载器。

线程注入

此过程打开1.txt（打包的shellcode），读取它，并使用VirtualAlloc获取一个RWX（可读写执行）内存块。它将载荷复制到该缓冲区，然后启动一个新线程，从该位置开始执行。

Sainbox和PurpleFox载荷

实际执行的功能，包括两个载荷的功能，都被塞进了1.txt中，并通过sqlite3.dll注入内存。1.txt内部包含三个部分：包含PurpleFox rootkit的32位和64位驱动文件，以及包含Sainbox Rat的shellcode。此shellcode是通过开源工具sRDI（Shellcode Reflective DLL Injection）生成的，该工具能将DLL文件转换为shellcode。

Sainbox Rat

从1.txt中提取shellcode，我们得到一个名为Install.dll的32位DLL文件，这就是Sainbox Rat载荷。

Sainbox shellcode会释放一个名为GetMP.exe的二进制文件。这只是一个重命名的Mimikatz，启动后会运行标准的mimikatz命令：

GetMP privilege::debug sekurlsa::logonpasswords exit

它会检查以下安全工具：

360tray.exe, 360sd.exe, kxetray.exe, KSafeTray.exe, QQPCRTP.exe, HipsTray.exe, BaiduSd.exe, baiduSafeTray.exe, KvMonXP.exe, RavMonD.exe, QUHLPSVC.EXE, QuickHeal, mssecess.exe, cfp.exe, SPIDer.exe, DR.WEB, acs.exe, Outpost, V3Svc.exe, AYAgent.aye, avgwdsvc.exe, f-secure.exe, F-Secure, avp.exe, Mcshield.exe, egui.exe, NOD32, knsdtray.exe, TMBMSRV.exe, avcenter.exe, ashDisp.exe, rtvscan.exe, remupd.exe, vsserv.exe, BitDefender, PSafeSysTray.exe, ad-watch.exe, K7TSecurity.exe, UnThreat.exe, UnThreat, MsMpEng.exe

观察到多个功能专门针对各种用户配置文件路径进行删除。这可能旨在特意减缓对受感染主机的取证分析速度。列出的每个应用程序如下：

QQ.exe, Telegram.exe, Firefox.exe, Chrome.exe, Msedge.exe, SogouExplorer.exe, 360Chrome.exe, 360se6.exe

远程桌面被启用，将策略位HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections翻转设置为0。

该样本通过GetModuleFileNameA获取自身可执行文件路径，然后构建一个隐藏的PowerShell命令，该命令调用Add-MpPreference以将该路径加入白名单：

powershell -WindowStyle Hidden Add-MpPreference -ExclusionPath \%s\

PurpleFox

PurpleFox首先将自己设置为内核中一个名为QAssist的隐藏系统设备。然后，该程序向QAssist发送命令以开启其隐藏功能，并精确指示要隐藏哪些文件、进程和注册表项。

作为一个内核级rootkit，PurpleFox的主要作用是规避检测。它使用以下命令集来操纵操作系统，并主动向安全工具隐藏其存在和恶意行为：

• Hid_State — 激活驱动程序
• Hid_StealthMode — 自身隐藏模式
• Hid_HideFsDirs — 隐藏目录
• Hid_HideFsFiles — 隐藏文件
• Hid_HideRegKeys — 隐藏注册表项
• Hid_HideRegValues — 隐藏注册表值
• Hid_IgnoredImages — 指定例外进程
• Hid_ProtectedImages — 指定受保护进程
• Hid_HideImages — 隐藏进程

结论

"DeepSeek Deception"攻击行动展示了像Gh0st RAT这类传统恶意软件的持续演变和有效性，它已被改编为强大的Sainbox RAT。样本分析清楚地揭示了一个复杂的多阶段感染链：利用一个令人信服的伪造MSI安装程序，通过一个良性的宿主进程（mctty.exe）执行DLL侧加载攻击。此感染链的核心是从打包文件1.txt中注入的双重载荷，它同时部署了Sainbox RAT用于远程控制、凭证窃取（通过Mimikatz）、规避安全工具和破坏性行为，以及PurpleFox rootkit用于内核级持久化和最终掩盖整个入侵行为。

IOCs

SHA256

• ChromeSetup-6581.msi - 42faf503afd58bc7aa37f5d4340be11895cae9d29da75bfaa97180671172304c
• sqlite3.dll - 0aedfcd4fd87d514d611ffb5605f0a956710685f37dead4c410cd9f890568b06
• 1.txt - f55d496329e1e9f1ebe9713b47f160f4e23cdab828b338111156cbf850a9c85e
• mctty.exe - c123f39c6ef4b00863848d0146062a65d201931f78f1eb348f6a57e22e700481
• 32.sys - 15af9964bcf4938d3b4ab9bb15dc0f297d7ca596a86f8f1d9572f957f5441ddd
• 64.sys - 1006caa9f350f4e166704b0f35d10814982f6e238c06001b2508001f0104182b

域名

• ee[.]bsjdwn[.]com

IP地址

• 45.207.12.71FINISHED
  CSD0tFqvECLokhw9aBeRqm+BSweG13cscZ9DbzQFnkaflACiJYHgfyTMQ/gLXDa/GQpIIVPyJNpmgF1nw1pEpLtN1e4GtbxXP2Mho+Qf0DimtRT3Ld1+FXFxB2VmWLxr
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）